據《連線》雜誌報導,所謂惡意廣告攻擊,顧名思義是指駭客在合法網站上購買廣告位,然後將設計好的惡意廣告上傳至廣告位,以達到攻擊訪問網站的使用者計算機的目的。
所以,新聞網頁看起來完全是無辜的。除了各路名人八卦和信口開河的雜誌版面設計,英國新聞媒體《每日郵報》的網站似乎沒有什麼特別具有惡意的地方。但是,若言你訪問October這樣的網站,你可能不知不覺地就成為一場駭客活動的受害者。
在《每日郵報》的後臺,第三方的廣告會偷偷地將讀者重新定向至駭客事先準備的開發工具包中,然後強制在電腦上安裝惡意軟體。
如今惡意廣告正不斷髮展的趨勢是:網路罪犯都喜歡在網際網路的各個角落以及熱門網站上出租已經預設好惡意廣告程式的廣告位,以便儘可能多地攻擊線上使用者。
很多熱門網站已經被駭客瞄準
惡意廣告活動至少可以回溯到2009年,當時一些讀者訪問《紐約時報》網頁時,頁面彈出了一個偽裝成防毒掃描器的視窗。而對《每日郵報》的攻擊則是最近一起瞄準主流網站的案例。
今年9月,流行色情網站YouPorn和Pornhub釋出了惡意廣告;一個月前,每月獨立訪客上億的《赫芬頓郵報》也出現了惡意廣告程式;《福布斯》也在9月遭了秧。而事實上,《赫芬頓郵報》在去年12月時便出現過類似現象。
如果聽起來像是發生過很多類似案例,那是因為事實正是如此:惡意軟體安全公司Cyphort的一份報告顯示,在2014年6月至2015年2月之間,惡意廣告攻擊事件上升了325%。
惡意廣告攻擊到底是什麼原理?
儘管每一次惡意廣告攻擊都是多變的,但是到底還是會遵循一定的準則。首先,駭客會在廣告網路平臺上註冊——運營這些平臺的公司就是向一般網站植入廣告,並向廣告主出售廣告位的公司。
這些公司在廣告主與出售廣告位的網站之間充當中介的角色。廣告主將廣告內容上傳至平臺的中心伺服器,然後服務前將廣告程式碼輸送到要投放的網站上。
那麼,駭客就會利用這個轉換的空子,將自己偽造成一個信譽良好的企業來上傳自己的廣告——大多數時候是基於Flash的內容,或者說包含惡意程式碼的東西。
當使用者訪問網站的時候,使用者看到什麼樣的廣告是由訪問時間決定的。這個過程有實時競價廣告的機制來主導:廣告位買主提前為選擇入口支付金額,然後無論是誰,只要流量高,其廣告就能在頁面上展示。
但是,如果是一個惡意廣告,一旦使用者選擇載入頁面,就算沒有點選它,這個廣告都會出現並且將路徑重新定向,引導至有網頁託管的工具包中。這就像是在後臺裡面,透過一串iFrame程式碼就能嵌入內容一樣。而且,還可以做得神不知鬼不覺。
”而惡意廣告的落地頁基本上就可以確定使用者計算機上是否存在脆弱的外掛,”Segura說道。它可以識別你使用的瀏覽器是什麼,然後尋找Flash(存在漏洞),或者其他脆弱的外掛。
最後,惡意廣告就會開始在被網頁“拐走”的使用者計算機上安裝軟體。這些惡意廣告有時安插的是勒索軟體——狡猾的駭客會利用這個軟體窺探受災計算機上的檔案,直到使用者向其付錢,而其他形式就是正如大家所知道的那樣——傳送銀行木馬竊取使用者的財務資訊。
值得一提的是,並不是所有瀏覽受害網站的使用者都會遭遇駭客攻擊。誠然,一些廣告只會瞄準某些國家的人,因為競價廣告的營銷需要(主要看商家客戶群)。而且,若言你的電腦有足夠穩固的防護,那麼被攻擊的機率也沒有那麼高。
據思科最近一份報告顯示,全球中使用釣魚(Angler)程式碼工具包的惡意廣告活動成功率大約在40%。除此之外,就是那些能夠摧毀防禦工具的零日漏洞攻擊——不過這類活動是相當稀少的。
最近,攻擊者們開始利用HTTPS加密,來使自身更加難以被追蹤發現。
如何才能停止惡意廣告攻擊?
谷歌一個典型代表人物Hélène Barrot表示,美國網路廣告服務商雙擊(DoubleClick)採取過許多不同的方法來試圖阻止惡意廣告行為。比如與行業內的夥伴、出版商對惡意廣告進行調查,並使用惡意軟體檢測工具來預防。Barrot說:“去年,我們打擊了5.24億個惡劣廣告,攔截了20多萬個廣告主。”
Segura則認為即使是更好的廣告掃描工具也沒有多大幫助:因為這些惡意廣告的數量實在太龐大了。相反,他覺得應該挺高廣告投放的門檻,比如廣告服務平臺應收取大額的註冊費用,提高網路犯罪的經濟風險。
現在,透過惡意廣告進行的網路犯罪成本低廉。“在某些廣告服務提供商上,駭客甚至只需要花費30便士就能投放惡意廣告——沒有什麼比這更廉價了。”
但對使用者來說,最行之有效的方式依然是安裝防禦軟體或者廣告攔截外掛。